Logfile of HijackThis v1.98.2
Scan saved at 13:16:48, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EM_EXEC] C:\Mouse\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab



--------

PS: Online-Überprüfung mit Kaspersky geht auch nicht.

Hallo Julia42,

Dein Logfile sieht sauber aus, bis auf eine Datei, die ich gerne überprüfen möchte:

C:\program files\InterMute\SpySubtract\SpySub.exe

teile uns das Ergebnis der Überprüfung mit. Sende die Datei, wenn sie infiziert sein sollte, passwortgeschützt, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Teile uns desweiteren bitte das Ergebnis des eScan mit, um das ich Dich bereits gebeten hatte: welche Viren (mit Pfadangabe) wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

@ SD
CWShredder bietet doch die Möglichkeit, SpySubtract mit runterzuladen. Daher die Datei: SpySubtract\SpySub.exe
Hab ich auch drauf.
Gruß cacatoa

Zitat:

- EScan (findet ihn sofort, identifiziert ihn auch korrekt, kann ihn aber nicht beseitigen)

das liegt vermutlich daran, dass eScan ab Version 4.5.1 keine Malware entfernt. Das muss von Hand gemacht werden.

Meinst Du: App/Ezula-A? [edit] ==> die Anwendung: App/Frgreet-A [/edit]

Zitat:

Ich kann sie nicht manuell entfernen, auch nicht im abgesicherten Modus und auch nicht, wenn ich den PC mit Linux starte. Ach umbennen hilft nicht.

Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

Zitat:

Zitat von Shadowdance

Wieso nicht?

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

SD

lol.... also wie man Dateien aufspürt und manuell löscht, weiss ich selber. Ausserdem brauche ich sie nicht zu suchen, weil ich ja weiss, wo sie sitzt. Sie lässt sich aber nicht löschen. Das ist ja eben der Gag bei diesem Trojaner.

Guten Abend

Ezula setzt sich in der Winsock2.reg fest. Winsock nach Anleitungen MS
im Internet ersetzen, oder von sauberen Windows mit demselben Service-
pack kopiern.

Gruss Tony

Hallo Julia42
Eins vorweg: Ich bin kein Computer-Profi
Ich hab auch ewig mit einer unkaputtbaren Datei rumgekämpft.
ich hab´s dann aber Gott sei Dank mit dem Tool
Amok DelayDel geschafft.

Bei der Gelegenheit :
Wer kennt die Ursache und deren Beseitigung, wenn im Windows/System32-
Verzeichnis plötzlich Dateien der Art
'Zahlenfolge'.dll.dll.dll.dll.dll.dll.dll.dll auftauchen?
(Nein ich hab nicht beim Schreiben gestottert, die sehen wirklich so aus !)

Ich hoffe, du hast auch Glück mit meiner Empfehlung,
und jemand kennt mein "Haustier"

Hallo

Hab auch einen Scan mit e-scan gemacht und auch einen Eintrag mit Ezula gefunden. Könnte mir da jemand helfen?

Danke schon im Voraus.

EScan

Wirklich wichtig ist eigentlich nur dieser Teil:


Mon Oct 25 13:48:01 2004 => **********************************************************
Mon Oct 25 13:48:01 2004 => eScan AntiVirus Toolkit Utility.
Mon Oct 25 13:48:01 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Mon Oct 25 13:48:02 2004 => **********************************************************
Mon Oct 25 13:53:14 2004 => ***** Scanning System32 Folders *****
Mon Oct 25 13:53:14 2004 => Scanning C:\WINNT Directory
Mon Oct 25 13:53:14 2004 => Scanning Folder: C:\WINNT\*.*
Mon Oct 25 13:54:06 2004 => Scanning C:\WINNT\system32 Directory
Mon Oct 25 13:54:06 2004 => Scanning Folder: C:\WINNT\system32\*.*
Mon Oct 25 13:54:45 2004 => Result: ERROR!!! File C:\WINNT\system32\auaamon.dll: Scanning Failure!!!

----------------

Du siehst, dass EScan zwar über den HiJacker stolpert, aber nichts damit anfangen kann.

---------

Die dir verdächtig erscheinende Datei aus dem HiJackThis-Scan ist nichts anderes als die exe des Antivirenprogrammes SpySubstract.

-------

Und nein..... ich meine nicht das Programm Ezula A. Sagte ich aber schon im ersten Posting.

Nein, es liegt nicht daran, dass Malware nicht automatisch entfernt wird. Sondern daran, dass EScan einen Error hat an der entsprechenden Stelle. Dass manuell entfernt werden muss, weiss ich selber. Ginge das, hätte ich das getan.

Hallo Julia42,

ich kenne nicht alle Programme, die vor Spyware schützen. Lieber einmal zuviel prüfen und sicher gehen, als etwas übersehen. Nächster Tipp. hast Du's mal damit probiert?

Auswahl Online Scan-Programme.

SD

Einige OnlineScanner sind dort, die ich noch nicht durch habe. Werde sie mal checken und melde mich dann mit den Ergebnissen.

Ergebnis:

keiner der OnlineScanner sieht die betroffenen Datei als verseucht an. Sie ist es aber eindeutig.

Alles versucht, aber die betreffende Datei widersetzt sich jeglichem Zugriff und das leider sehr erfolgreich. Auch im abgesicherten Modus und auch unter Linux. Ich versuche es jetzt noch direkt unter Unix und wenn das auch nicht hinhaut, dann gewöhne ich mich wohl besser an den Gedanken, mal wieder alles neu aufzulegen.